macOS bestandsrechten, privacy en beveiliging: wie heeft de controle?
Toegang tot bestanden en mappen is niet meer zo eenvoudig als vroeger.
Er was een tijd dat, als een bestand in uw thuismap stond, u er volledige rechten op had, en afgezien van die delen die door root werden bestuurd, kon u verder alles.
Dit artikel legt vijf bestandsrechten uit.
Dat zijn:
- Permissies
- Maken nog steeds deel uit van het Mac OS X toen het 25 jaar geleden werd geïntroduceerd, en biedt basiscontroles over welke gebruikers en groepen items kunnen lezen of schrijven, in een systeem dat Unix en vele andere besturingssystemen gemeen hebben.
- Access Control Lists
- ACL’s verfijnen die permissies met meer specifieke beperkingen op toegang tot items en werd in 2005 geïntroduceerd in Mac OS X 10.4 Tiger.
- Privacycontroles die worden afgedwongen door het “Transparency Consent and Control”
- (TCC)-systeem omvatten beperkingen op de toegang tot specifieke mappen sinds macOS 10.14 Mojave in 2018.
- System Integrity Protection
- SIP werd in 2015 geïntroduceerd met El Capitan en brengt systeemmappen voornamelijk buiten het bereik van root.
- Sandboxing app
- Is een beveiligingsbescherming die de bestanden beperkt waartoe individuele apps toegang hebben door een sandbox op te leggen zoals bepaald door hun rechten.
Om toegang te krijgen tot een bestand of map van elke app, inclusief de Finder, moeten alle vijf punten hun goedkeuring geven.
Toestemmingen
De eenvoudigste en meest eenvoudige bedieningselementen, die kunnen worden geïnspecteerd en gewijzigd in het dialoogvenster Get Info van de Finder voor alle toegankelijke bestanden en mappen.
Ze regelen de mogelijkheid van apps en andere code om te lezen en naar elk bestand en map te schrijven.
Normaal gesproken, als u de eigenaar van een bestand of map bent, verwacht u zowel lees- als schrijftoegang te hebben, en dat zorgt ervoor dat de apps die u uitvoert met gebruikersrechten gewijzigde bestanden kunnen openen, bewerken en opslaan.
Er is ook het selectievakje “Vergrendeld” dat voor de hand lijkt te liggen, hoewel het vaak over het hoofd wordt gezien als oorzaak van problemen bij het opslaan van een bestand.
Sommige locaties zijn bijzonder gevoelig voor fouten in permissies, zoals al die eigenschappen lijsten met instellingen voor apps en services die zijn opgeslagen in de directory~/Library/Preferences.
Ze worden meestal afgehandeld door een achtergrondservice cfprefsd, maar als de permissies zijn gewijzigd zodat ze geen toegang heeft tot een eigenschappen lijst die het moet gebruiken, kunnen allerlei vreemde fouten ontstaan.
In het verleden zijn maatregelen genomen om die permissies te corrigeren of te herstellen, maar die problemen zouden nu allang in het verleden moeten zijn en reparaties zijn over het algemeen onnodig en potentieel gevaarlijk.
ACL’s
Toegangscontrolelijsten, de ACL’s, voegen een geavanceerder systeem toe voor het afdwingen van meer specifieke beperkingen die een breed scala aan functies bestrijken.
Hun enige gebruik in onze moderne macOS is het behouden van standaardstructuren van mappen in de thuismap.
Reguliere Posix-permissies doen het niet zo goed, dus een veelgebruikte ACL is group:everyone deny delete om te voorkomen dat iemand de map verwijdert waarop dit is toegepast.
Die ACL zou moeten staan op elke gebruikersmap en de gastmap in /Users.
Binnen elke gebruikersmap wordt het normaal gesproken toegepast op alle standaardmappen, waaronder
- Bureaublad
- Documenten
- Downloads
- Bibliotheek
- Films
- Muziek
- Afbeeldingen
- Openbaar en Sites
- Op sommige mappen binnen ~/Bibliotheek.
Het resultaat van de ACL is dat elke poging om die map te verwijderen stilletjes mislukt, waardoor de standaardlay-out behouden blijft.
Maar het heeft geen invloed op de toegang tot de inhoud van die mappen, noch kan het verantwoordelijk worden gehouden voor fouten bij het lezen van bestanden of ze te schrijven in een beveiligde map.
Helaas gaat het dialoogvenster Info ophalen van de Finder niet precies over de aanwezigheid of effecten van ACL’s, maar wordt alleen vermeld dat de gebruiker “aangepaste toegang” heeft.
Gelukkig geven sommige GUI-tools goede toegang tot ACL’s, en mijn favoriete blijft het TinkerTool-systeem, dat er uitstekende ondersteuning voor heeft.
Het is het meest waardevol in het weergeven van effectieve permissies.
Built-in tools are provided in Terminal. Show all ACLs using the command ls -le to return entries such as
drwx——@ 5 hoakley staff 160 8 Oct 12:09 Desktop
0: group:everyone deny delete
drwx——@ 81 hoakley staff 2592 17 Feb 15:42 Documents
0: group:everyone deny delete
U kunt een ACL toevoegen met chmod, zoals chmod +a “everyone deny delete” MyFolder
Privacybescherming
MacOS wijst bepaalde locaties en bronnen aan als privé en beschermt ze met behulp van het TCC-systeem ( Transparency, Consent and Control).
Onder de mappen die dit beschermt zijn:
- Bureaublad
- Documenten
- Downloads
- Verwijderbare opslag.
Hoewel de toegang tot individuele mappen een prima controle geeft, is het meestal het eenvoudigst om die app toe te voegen aan de lijst met volledige schijftoegang, in de privacy- en beveiligingsinstellingen, als u problemen ondervindt.
Dat kan veel apps onnodige toegang geven tot privégegevens, dus u moet regelmatig de lijst met apps met volledige schijftoegang controleren om er zeker van te zijn dat ze het allemaal nog steeds nodig hebben.
Merk op dat “Volledige schijftoegang” geen permissies of ACL’s kan overschrijven.
In Sequoia bevatten privacy-beschermde mappen nu:
- ~/Desktop
- ~/Documenten
- ~/Downloads
- iCloud Drive
- cloudopslag van derden, indien gebruikt
- verwijderbare volumes
- Netwerkvolumes
- Time Machine back-ups.
SIP en beveiliging
In principle, System Integrity Protection (SIP) zou alleen van toepassing moeten zijn op systeembestanden, maar het wordt ook gebruikt om enkele andere componenten te vergrendelen, waaronder de uitgebreide kenmerken van com.apple.macl, die aan gebruikersbestanden kunnen worden toegevoegd. Deze zijn betrokken bij een aantal problemen waarbij gewone gebruikersdocumenten vergrendeld raken en doorgaans geen wijzigingen opslaan.
Hoewel de exacte rol en het gebruik van dit uitgebreide kenmerk niet duidelijk is, wordt algemeen aanvaard dat het een app aanduidt die is goedgekeurd om dat bestand te bewerken, waardoor documentspecifieke privacycontrole wordt geboden.
SIP is gemakkelijk te herkennen in het dialoogvenster Informatie op te halen in de Finder, omdat alleen het systeem schrijftoegang heeft en permissies opnieuw worden beschreven als “aangepaste toegang”.
com.apple.macl uitgebreide attributen worden normaal gesproken beschermd door hetzelfde mechanisme dat SIP toepast, dus elke poging om ze te verwijderen zal waarschijnlijk mislukken.
Een oplossing hiervoor is om het bestand een ander volume te geven, zodat wanneer het wordt gekopieerd, het uitgebreide kenmerk niet langer wordt beschermd en kan worden verwijderd.
Deze problemen verschijnen het meest waarschijnlijk wanneer andere apps dan die zijn ingesteld als de standaard-app om een documenttype te openen, worden gebruikt om bestanden te bewerken.
Een andere benadering van hun oplossing is om een getroffen document te selecteren in de Finder, Get Info, het in te stellen op Openen met de standaard-app en vervolgens op Alles wijzigen te klikken… om alle andere te resetten naar die standaard-app.
Sandboxing
Sandboxing is een beveiligingsfunctie waar individuele apps voor kunnen kiezen.
Omdat het een vereiste is van degenen die worden gedistribueerd via de App Store van Apple, is het nu ook gebruikelijk in software van derden.
Het uitgangspunt is om een sandbox-app te beperken tot de mappen die in de sandbox zijn gemaakt, opgeslagen in de map in ~/Containers.
Omdat dit het nut van de meeste apps ernstig beperkt, is het gebruikelijk dat ze rechten hebben die hun mogelijkheid om toegang te krijgen tot bestanden en mappen uitbreiden buiten die basissandbox.
Aangezien dit wordt beheerd door het rechten systeem en is ingebouwd in de handtekening van de app, is het niet iets waar de gebruiker enige controle over heeft.
Als een sandbox-app geen toegang heeft tot bestanden of mappen die u moet gebruiken, neem dan contact op met de ontwikkelaar.
Wat kunt u veranderen?
- Toestemmingen zijn over het algemeen eenvoudig en gemakkelijk te controleren.
- Pas op voor het wijzigen van die in bibliotheekmappen, maar uw documenten en andere bestanden moeten eenvoudig te beheren zijn.
- ACL’s zijn complexer. Tenzij u begrijpt wat u doet, laat ze dan met rust.
- Privacycontroles zijn uitgebreid en beladen.
- De enige controle die u hier heeft, is apps toegang geven tot de volledige schijf wanneer dat nodig is.
- Controleer die lijst regelmatig om er zeker van te zijn dat u niet te makkelijk bent geweest.
-
Er mag niet met SIP worden geknoeid, tenzij u volledig begrijpt wat u doet.
-
Op Apple Silicon Macs wordt de opstartbeveiliging verlaagd naar Toegeeflijk, met andere gevolgen.
-
Details van fijne controle met behulp van csrutil zijn hier.
-
- App-sandboxing valt niet binnen de controle van de gebruiker.
Veel bezoekers bekeken ook
- Het herstel menu op Apple silicon Macs
- Wat kunt u niet doen op Apple Silicon Macs
- Mac schijf vervangen
- Bereid uw Mac voor op een reparatie
- Reset uw Apple ID-wachtwoord
- macOS Herstelmodus
- Mac Start niet
- Apple ID ontkoppelen
- Start Mac op in de Target Mode
